Beruflich Dokumente
Kultur Dokumente
Segurana da Informao
ABNT NBR ISO/IEC 270012005
Segurana de Informao
responsvel pela proteo de um conjunto de dados, no sentido de preservar o valor que possuem para um indivduo ou uma organizao
Normas
Poltica de Segurana
Objetivo:
Prover administrao uma direo e apoio para a segurana de informao Metas de segurana Comprometimento da organizao
Deve especificar:
Poltica de Segurana
Elaborao, aprovao e aplicao Nvel hierrquico Quando mais baixo o nvel, mais detalhes Sofre constantes atualizaes
Projeto de Segurana
Identificao dos ativos da empresa em termos de informao; Anlise dos riscos de segurana; Anlise dos requisitos de segurana e compromissos; Desenvolvimento de um plano de segurana; Definio de uma norma de segurana; Desenvolvimento de procedimentos para implantar a norma e uma estratgia de implementao Implementao, gerenciamento e auditoria dos procedimentos de segurana.
Plano de Segurana
Prope o que a organizao deve fazer para satisfazer os requisitos de segurana Deve conter:
Relao de servios de TI disponibilizados; Quais reas disponibilizam esses servios; Quem tem acesso a esses; Descrio detalhada da implementao desse plano; Procedimentos de controle dos ambientes, incidentes e contingncias As pessoas e os recursos necessrios para o desenvolvimento e implementao tcnica da norma de segurana
Especifica:
Plano de Segurana
Precisa ter apoio de todos os nveis de funcionrios dentro da organizao O pessoal tcnico da rede e locais remotos deve se envolver da mesma forma que os usurios finais
Normas de Segurana
So declaraes formais das regras s quais as pessoas que tm um determinado acesso tecnologia e ativos de informaes de uma organizao devem obedecer
Normas de Segurana
Informa aos usurios, gerentes e ao pessoal tcnico de suas obrigaes para proteger os ativos de tecnologia e informaes Deve ser explicada a todos pela gerncia superior um documento vivo Devem ser atualizadas constantemente
Normas de segurana
BS7799
British Standard 7799 uma norma de segurana destinada a empresas Criada na Inglaterra, teve seu desenvolvimento iniciada em 1995 Verso internacional da BS7799 Verso brasileira da norma ISO
ISO/IEC 27001
Pode ser usada pela maioria dos setores da economia As principais recomendaes so organizadas em 11 sees:
Poltica de Segurana de Informao; Organizando a Segurana de Informao; Gesto de ativos; Segurana em Recursos Humanos; Segurana Fsica e do Ambiente; Gerenciamento das Operaes e Comunicaes; Controle de Acesso; Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao; Gesto de Incidentes de Segurana de Informao; Gesto de Continuidade de Negcios; Conformidade.
Atitude de Segurana
Reativa
Preventiva
Incidentes de Segurana
Incidente de Segurana
Quando ocorre um problema relacionado com a segurana, podemos dizer que ocorreu um Incidente de Segurana.
fato ou evento que voc acredite que poderia afetar sua segurana pessoal ou a segurana de sua organizao, considerado um incidente de segurana. ->Voc identifica algo -> se d conta de que poderia se tratar de um incidente de segurana -> registra-o/ compartilha-o -> anlise -> estabelece-se se trata de um incidente de segurana -> reao como melhor convenha. Como distinguir os incidentes de segurana das ameaas: Lembre-se: as ameaas tm um objetivo, e os incidentes simplesmente ocorrem.
Incidente de Segurana
Um incidente de segurana pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado segurana de sistemas de computao ou de redes de computadores.
Exemplos:
tentativas de ganhar acesso no autorizado; ataques de negao de servio; uso ou acesso no autorizado a um sistema; modicaes em um sistema, sem o conhecimento ou consentimento prvio do dono; desrespeito Poltica de Segurana.
No nos esqueamos que freqente que os incidentes de segurana passem despercebidos ou sejam descartados: tenhamos cuidado com isto!
Passo 1: Informar sobre o incidente. Passo 2. Decidir quando reagir. H trs possibilidades: Passo 3. Decidir como reagir e quais so seus objetivos. Exemplo: Se um grupo de defensores descobrem que um de seus colegas no chegou ao seu destino numa cidade segundo o planejado, poderiam iniciar uma reao ligando para o hospital, para seus contatos com outras ONG s, a um Escritrio da ONU mais prximo e para a polcia. Mas antes de iniciar estas chamadas, muito importante determinar o que se pretende conseguir e o que se decidir. Caso contrrio, poderiam gerar um alarme desnecessrio (imaginemos que o defensor se atrasou porque perdeu o nibus ou se esqueceu de ligar para o escritrio) ou uma reao oposta pretendida.
Ser abordado:
Objetivo:
Assegurar que fragilidades e eventos de segurana da informao associados com sistemas de informao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil. Notificao de eventos de segurana da informao Notificao de fragilidades de segurana da informao
Sero Tratados:
Controle:
Convm que os eventos de segurana da informao sejam relatados atravs dos canais apropriados da direo, o mais rapidamente possvel. Procedimento de notificao formal Ponto de contato
Processos adequados de realimentao; Formulrio; Comportamento correto a ser tomado; Referncia para um processo disciplinar formal estabelecido.
Alarmes de coao
Informaes adicionais
Perda de servio, equipamento ou recursos; Violaes de procedimentos de segurana fsica; Mau funcionamento de software ou hardware; Treinamento de conscientizao
Atravs de relatrio, email, telefone avisar o responsvel de segurana para ele investigar: origem, prejuzo, conseqncias entre outros fatores. O responsvel de segurana tomar medidas cabveis.
Mande as reclamaes diretamente para os e-mails de contato do provedor / rede de onde partiram os ataques, colocando sempre cert@cert.br no campo "Cc:" da mensagem.
CSIRT
Um grupo ou organizao que prov servios e suporte para um pblico bem definido, para preveno, tratamento e resposta a Incidentes de Segurana.
Ponto central de contato Prov informaes para o seu pblico Troca informaes com outros CSIRTs
Misso do CSIRT
no trabalho de conscientizao sobre os problemas de segurana no desenvolvimento de documentao na coordenao do tratamento de incidentes
Papel do CSIRT
reduzir as informaes que chegam aos administradores de redes e usurios Prover recomendaes e estratgias Determinar o impacto de incidentes Prover meios para recuperao rpida Ser o ponto de contato com outros grupos, polcia, mdia, etc.
Tipos:
Empresas Pases Backbones rgaos Governamentais Completa Parcial Indireta Sem autoridade
Autoridade:
Servios de um CSIRT
Proativos
Filtragem e repasse de informaes Disseminao da cultura de segurana Desenvolvimento de documentao Treinamentos e orientao a usurios Congurao e manuteno dos sistemas Desenvolvimento de ferramentas
Reativos
Tratamento de Incidentes Coordenao de aes Deteco e rastreamento de invases Preservao de evidncias Anlise de artefatos Anlise de vulnerabilidades
colocar as partes em contato prover apoio necessrio para recuperao e anlise de sistemas comprometidos
Trabalho colaborativo com outras entidades, como as polcias, provedores, backbones e setor financeiro
Perfil do Prossional
permite acesso a informaes relevantes permite correlao de eventos facilita a resoluo de incidentes
Durante o processo de resposta a incidentes Participando de conferncias FIRST (Forum of Incident Response and Security Teams)
CSIRTs no Mundo
CSIRTs Brasileiros
CSIRT Banco do Brasil CSIRT Bradesco Citibank GRA Caixa Econmica Federal GRA SERPRO Ita Telemar
Projeto INOC-DBA BR
Sistema de comunicao imediata entre operadores de redes e CSIRTs, baseado em telefonia IP.
Resposta a Incidentes
Origem variada
forma mais usada pela comunidade de CSIRTs administradores de redes, usurios, outros CSIRTs varreduras, tentativas de comprometimento; violao de direitos autorais checagem dos contatos, noticaes de outros sites; acompanhamento e estatsticas
Aes tomadas
Apoio a recuperao de incidentes Correlao de eventos de segurana observados com outras fontes Dvidas sobre segurana: usurios, administradores e mdia
Quando uma organizao possui um plano de Resposta a Incidentes, atividades anmalas so mais facilmente detectadas, e a adoo de uma metodologia apropriada pode rapidamente identificar os sistemas afetados, podendo-se ento levantar a extenso do incidente Tal levantamento essencial para que se possa reportar o evento aos rgos competentes, bem como dimensionar o montante do prejuzo.
Durante o trato com incidentes reais, nota-se a grande dificuldade de se estabelecer uma poltica que englobe todas as situaes, j que durante eventos dessa natureza lida-se com agentes cujos objetivos so a princpio desconhecidos. Tal deficincia pode ser minimizada atravs do contnuo aprimoramento da metodologia por meio de simulaes peridicas.
Embora exista essa dificuldade, segundo Ed deHart do CERT/CC, Tudo que um site puder fazer para se preparar para um incidente ser benfico, podendo economizar tempo e dinheiro
Etapa Pr-Incidente
A preparao para a resposta a um incidente de segurana comea pela criao de um time de resposta (TR), uma vez que geralmente para se executar os procedimentos necessrios em tempo, a organizao deve possuir pessoal preparado no local. O TR pode ser formado por um ou vrios membros com conhecimento na rea de segurana, o nmero depende do tamanho e das necessidades da corporao.
Etapa Pr-Incidente
O primeiro objetivo do TR a criao do plano de resposta a incidente. No existe uma receita para a criao de tal documento, pois este deve se adequar s peculiaridades de cada organizao e mesmo aps tal adaptao requer aprimoramento contnuo, como j dito anteriormente. Porm, possvel estabelecer pontos-chave que na maioria das vezes devem estar presentes. Dentre eles pode-se citar:
Etapa Pr-Incidente
Identificao de Prioridades
do ponto de vista corporativo, um bom tratamento dado a um incidente seria aquele que mais amenizasse o impacto nos negcios da companhia.
A metodologia deve considerar as prioridades da empresa, bem como saber identificar dentre os possveis danos, quais seriam mais prejudiciais organizao.
Etapa Pr-Incidente
1. Comprometimento da reputao da empresa; por exemplo atravs da desfigurao de pginas web. 2. Roubo de propriedade intelectual; 3. Modificao ou destruio dos bancos de dados da organizao.
Etapa Pr-Incidente
Tal identificao serve tambm para amenizar o choque de objetivos entre o investigador forense, que naturalmente busca remediar o acesso ilegal de forma concomitante identificao e neutralizao do agente causador do incidente, e a empresa que deseja o retorno da normalidade dos negcios o mais rpido possvel.
Etapa Pr-Incidente
O ideal seria o restabelecimento das atividades normais, manipulando as possveis evidncias de forma a garantir sua integridade (e.g. hash MD5), no interferindo assim em futura busca ao agente causador do incidente;
Etapa Pr-Incidente
um plano de resposta a incidentes passa tambm, pela elaborao de uma poltica de utilizao dos recursos de tecnologia da informao que contemple a possibilidade de uma investigao, abordando assim, questes como:
A definio de tal poltica requer debate entre todos os usurios e discusso da filosofia da organizao, o que por muitas vezes no uma tarefa fcil.
Etapa Pr-Incidente
Para ajudar nessa etapa, existem diversos modelos disponveis na Internet, um exemplo seria os presentes no site da SANS: http://www.sans.org/newlook/resources/policies/ policies.htm;
Etapa Pr-Incidente
para facilitar uma futura anlise, seria interessante que todas as mquinas da rede estivessem previamente configuradas para fornecer a maior quantidade de informaes possvel ao TR.
Por exemplo:
1. Habilitar as polticas de auditoria do Windows de forma conveniente. Uma ferramenta que poderia ser utilizada para facilitar tal processo o DoIt4Me1, ferramenta gratuita para automatizao de tarefas administrativas no Windows. 2. Armazenar o hash dos arquivos crticos do sistema em local seguro. Ferramentas como o Tripwire automatizam este processo, contudo tal ferramenta no gratuita para ambientes corporativos. Uma possvel soluo seria a utilizao do framework desenvolvido em perl por Harlan Carvey.
Etapa Pr-Incidente
A reunio de um conjunto de ferramentas que possa diagnosticar o estado atual de uma mquina e garantir a integridade das informaes apresentadas, um dos pontos mais importantes na preparao para um incidente. Quando uma mquina identificada como alvo de um ataque ou suspeita de uso ilegal por parte de algum agente interno, no seguro utilizar qualquer tipo de software ou biblioteca presente na mquina.
Etapa Pr-Incidente
Uma soluo muito adotada a cpia em CD de todos os programas necessrios, sejam eles especializados ou nativos, para neutralizar a tentativa de ocultar informaes atravs da utilizao de bibliotecas e comandos adulterados.
Etapa Ps-Incidente
Quando um incidente ocorre, crucial que se evite o pnico para que o plano de resposta previamente elaborado seja seguido com exatido. Nessa nova etapa, novamente no h receita, uma vez que vrios imprevistos podem ocorrer; entretanto o plano deixa o TR em grande vantagem.
Etapa Ps-Incidente
Vrios procedimentos so bastante discutidos e utilizados internacionalmente. Sendo assim, devem ser considerados durante a preparao da metodologia. Dentre os mais importantes pode-se citar:
Documentao das aes tomadas Clculo de hashes Coleta de informaes volteis Reporte aos rgos competentes Desligamento da mquina Cpia dos discos
1. Liberao dos discos da mquina, se for o caso; 2. A anlise postmortem possa ser feita sobre cpias
Incidente
A complexidade envolvida no trato com incidentes de segurana somadas ao nervosismo causado pela iminncia de prejuzos morais e financeiros, justificam a criao de um TR, que por sua vez, estar encarregado da definio dos procedimentos a serem adotados no caso de uma emergncia.
Incidente
Apesar de raras as corporaes que possuem programas de resposta, o constante aumento da importncia da Internet no cotidiano dos mais diferentes tipos de organizao, tende a consolidar tal prtica.
Firewall
Uma das ferramentas de segurana mais difundida que permite a auditoria, proteo, controle do trfego interno e externo de uma rede.
Falso Positivo
O termo falso positivo utilizado para designar uma situao em que um firewall ou sistema de deteco de intruso aponta uma atividade como sendo um ataque, quando na verdade esta atividade no um ataque.
Controle
Convm que os funcionrios, fornecedores e terceiros de sistemas e servios de informao sejam instrudos a registrar e notificar qualquer observao ou suspeita de fragilidade em sistemas ou servios.
Notificar o mais rpido possvel para sua direo ou provedor de servios Mecanismo de notificao fcil, acessvel e com uma mxima disponibilidade Usurios no podem tentar averiguar fragilidade suspeita
Informaes adicionais
Interpretao do uso imprprio potencial do sistema; Danos ao sistema ou servio de informao. Usurio que efetuou o teste o responsvel legal
Objetivo:
Assegurar que um enfoque consistente e efetivo seja aplicado gesto de incidentes de segurana da informao. Responsabilidades e Procedimentos Aprendizado com os incidentes de informao Coleta de evidncias
Sero Tratados:
Responsabilidades e procedimentos
Controle
Convm que responsabilidades e procedimentos de gesto sejam estabelecidos para assegurar respostas rpidas, efetivas e ordenadas a incidentes de segurana da informao.
Responsabilidades e procedimentos
Anlise e identificao da causa do incidente; Reteno; Planejamento e implementao de ao corretiva; Comunicao com aqueles afetados ou envolvidos com a recuperao do incidente; Notificao da ao para a autoridade apropriada;
Responsabilidades e procedimentos
Concordncia da direo em relao aos objetivos de gesto de incidentes Entendimento das prioridades da organizao no manuseio de incidentes pelos responsveis
Responsabilidades e procedimentos
Informaes Adicionais
Comunicao com organizaes externas Resposta coordenada Troca de informaes em relaes a esses incidentes
Controle
Convm que sejam estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurana da informao sejam quantificados e monitorados.
Informao resultante da anlise de incidentes utilizada para identificao de incidentes recorrentes ou de alto impacto Anlise de incidentes de segurana pode indicar a necessidade de:
Informaes Adicionais
Coleta de evidncias
Controle
Nos casos em que uma ao de acompanhamento contra uma pessoa ou organizao, aps um incidente de segurana da informao, envolver uma ao legal (civil ou criminal), convm que evidncias sejam coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidncias da jurisdio(es) pertinente(s).
Coleta de evidncias
Diretrizes para Implantao Elaborao e respeito aos procedimentos internos que envolve:
Necessita de uma qualidade e inteireza nos controles para proteo de evidncias Processo de armazenamento e processamento de evidncia
Coleta de evidncias
Original ser mantido de forma segura; Assegurar que os originais no foram alterados. Disponibilidade de cpias de mdias removveis; Registro de aes durante o processo de cpia e testemunhas; Mdia original ser mantida e intocvel .
Coleta de evidncias
Trabalho forense somente realizado em cpias Preservao da integridade de todo material de evidncia Superviso no processo de cpia
Pessoas confiveis
Coleta de evidncias
Informaes adicionais:
Medidas de Segurana
Corretivas: Aes voltadas correo de uma estrutura tecnolgica e humana para que as mesmas se adaptem as condies preventivas
89
Medidas de Segurana
Poltica de Segurana; Poltica de utilizao da Internet e Correio Eletrnico; Poltica de instalao e utilizao de softwares; Plano de Classificao das Informaes; Auditoria; Anlise de Riscos; Anlise de Vulnerabilidades; Anlise da Poltica de Backup; Plano de Ao Operacional; Plano de Contingncia; Capacitao Tcnica; Processo de Conscientizao dos Usurios.
Medidas de Segurana
Backups; Antivrus; Firewall; Deteco de Intruso (IDS); Servidor Proxy; Filtros de Contedo; Sistema de Backup; Monitorao; Sistema de Controle de Acesso; Criptografia Forte; Certificao Digital; Teste de Invaso; Segurana do acesso fsico aos locais crticos.
Agenda
Gesto de Incidentes
Notificao de fragilidades e eventos de segurana da informao Gesto de incidentes de segurana da informao e melhorias
Objetivo
Assegurar que fragilidades e eventos de segurana da informao associados com sistemas de informao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil. Formalizar os procedimentos Treinar todos (inclusive terceiros) para que notifiquem o quanto antes os eventos.
Convm
Os eventos de segurana da informao devem ser relatados atravs dos canais apropriados da direo, o mais rapidamente possvel. Os funcionrios, fornecedores e terceiros de sistemas e servios de informao devem ser instrudos a registrar e notificar qualquer observao ou suspeita de fragilidade em sistemas ou servios.
Objetivo
Assegurar que um enfoque consistente e efetivo seja aplicado gesto de incidentes de segurana da informao. Responsabilidades e procedimentos definidos Rodar o PDCA (melhoria contnua) com base nos incidentes de segurana Coleta de evidncias para cumprir exigncias legais
Convm
Responsabilidades e procedimentos
Responsabilidades e procedimentos de gesto devem ser estabelecidos para assegurar respostas rpidas, efetivas e ordenadas a incidentes de segurana da informao.
Devem ser estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurana da informao sejam quantificados e monitorados.
Nos casos em que uma ao de acompanhamento contra uma pessoa ou organizao, aps um incidente de segurana da informao, envolver uma ao legal (civil ou criminal), evidncias devem ser coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidncias da jurisdio ou jurisdies pertinentes.
Correlao de Eventos
Permite a tomada de medidas preventivas antes que um incidente ocorra; Reduz a complexidade de monitoramento manuteno do ambiente de TI; Permite tratamento rpido e eficaz de incidentes; Facilita o registro e arquivamento de registros de auditoria;
Soluo
Fatores de Sucesso
Apoio por parte dos superiores Perl e motivao dos prossionais Treinamento e atualizao da equipe Reconhecimento por parte da comunidade a que atende, facilitado atravs: da capacidade tcnica da qualidade das informaes providas do relacionamento com esta comunidade
Exerccio
Em relao as notificaes de fragilidades e eventos de segurana da informao, assinale as alternativas vlidas, segundo a norma ISO 27002:2005 ( ) devem ser relatados por canais da direo ( ) devem ser relatados s por funcionrios ( ) devem incluir suspeitas de fragilidade ( ) devem ser relatados semanalmente
Resposta
Em relao as notificaes de fragilidades e eventos de segurana da informao, assinale as alternativas vlidas, segundo a norma ISO 27002:2005 ( X ) devem ser relatados por canais da direo ( ) devem ser relatados s por funcionrios ( X ) devem incluir suspeitas de fragilidade ( ) devem ser relatados semanalmente
Exerccio
Em relao a gesto de incidentes, segundo a norma ISO 27002:2005, marque as alternativas vlidas: ( ) o responsvel o gestor do sistema de gesto da segurana da informao ( ) devem ser monitorados e quantificados tipos, quantidades e custos ( ) se envolver ao legal, as evidncias devem ser produzidas e armazenadas em conformidade com as normas legais dos USA ( ) podem indicar qualquer responsvel, desde que assegurem respostas rpidas, efetivas e ordenadas
Resposta
Em relao a gesto de incidentes, segundo a norma ISO 27002:2005, marque as alternativas vlidas: ( ) o responsvel o gestor do sistema de gesto da segurana da informao ( X ) devem ser monitorados e quantificados tipos, quantidades e custos ( ) se envolver ao legal, as evidncias devem ser produzidas e armazenadas em conformidade com as normas legais dos USA ( X ) podem indicar qualquer responsvel, desde que assegurem respostas rpidas, efetivas e ordenadas
Referncias
NBSO - NIC BR Security Ofce Brazilian Computer Emergency Response Team http://www.nbso.nic.br/ Comit Gestor da Internet no Brasil http://www.cg.org.br/ Material de Apoio para CSIRTs http://www.nbso.nic.br/csirts/ Cursos do CERT/CC ministrados pelo NBSO http://www.nbso.nic.br/cursos/ Stafng Your Computer Security Incident Response Team What Basic Skills Are Needed? http://www.cert.org/csirts/csirt-staffing.html
Bibliografia
Dvida
Ser abordado:
Incluso segurana da informao no processo de gesto da continuidade de negcio Continuidade de negcios e anlise/avaliao de riscos Desenvolvimento e implementao de planos de continuidade relativos segurana da informao Estrutura do plano de continuidade do negcio Testes, manuteno e reavaliao dos planos de continuidade do negcio
Objetivo:
No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hbil, se for o caso. Incluso da segurana da informao no processo de gesto da continuidade de negcio Continuidade de negcios e anlise/avaliao de riscos Desenvolvimento e implementao de planos de continuidade relativos segurana da Informao Estrutura do plano de continuidade do negcio Testes, manuteno e reavaliao dos planos de continuidade do negcio
Sero Tratados:
Controle
Convm que um processo de gesto seja desenvolvido e mantido para assegurar a continuidade do negcio por toda a organizao e que contemple os requisitos de segurana da informao necessrios para a continuidade do negcio da organizao.
Incluso da segurana da informao no processo de gesto da continuidade de negcio Diretrizes para implementao
Entendimentos dos riscos de exposio da organizao; Identificao de ativos nos processos crticos de negcios; Entendimento do impacto que incidentes tero sobre os negcios; Estabelecimento dos objetivos do negcio dos recursos de processamento da informao; Considerao de contratao de seguro compatvel Identificao e considerao da implementao de controles preventivos e de mitigao;
Incluso da segurana da informao no processo de gesto da continuidade de negcio Diretrizes para implementao (Cont.)
Garantia da segurana de pessoal; Proteo de recursos de processamento das informaes e bens organizacionais; Detalhamento e documentao de planos de continuidade de negcio; Testes e atualizaes regulares dos planos e processos implantados Garantia de que a gesto da continuidade do negcio esteja incorporada aos processos e estrutura da organizao.
Controle
Convm identificar os eventos que podem causar interrupes aos processos de negcio, junto a probabilidade e impacto de tais interrupes e as conseqncias para a segurana de informao.
Identificao de eventos que podem causar interrupes nos processos de negcio Anlise/avaliao de riscos para a determinao da probabilidade e impacto dessas interrupes
Realizadas com envolvimento dos responsveis pelos processos e recursos do negcio; Identificao, quantificao e priorizao dos critrios baseados nos riscos e os objetivos pertinentes organizao.
Controle
Convm que os planos sejam desenvolvidos e implementados para a manuteno ou recuperao das operaes e para assegurar a disponibilidade da informao no nvel requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do negcio.
Identificao e concordncia de todas as responsabilidades e procedimentos da continuidade do negcio; Identificao da perda aceitvel de informaes e servios; Implementao dos procedimentos que permitam a recuperao e restaurao das operaes do negcio e da disponibilidade da informao nos prazos necessrios;
Desenvolvimento e implementao de planos de continuidade relativos segurana da informao Diretrizes para implementao
Procedimentos operacionais que permitam a concluso de restaurao e recuperao que estejam pendentes; Documentao dos processos e procedimentos acordados; Educao adequada de pessoas nos procedimentos e processos definidos; Teste e atualizao dos planos.
Desenvolvimento e implementao de planos de continuidade relativos segurana da informao Diretrizes para implementao (Cont.)
Controle
Convm que uma estrutura bsica dos planos de continuidade do negcio seja mantida para assegurar que todos os planos so consistentes, para contemplar os requisitos de segurana da informao e para identificar prioridades para testes e manuteno.
Plano de continuidade
Enfoque para continuidade do negcio; Plano de escalonamento; Condies para ativao; Ajuste dos procedimentos de emergncia
Procedimentos de emergncia; Procedimentos de recuperao; Procedimentos operacionais temporrios; Uma programao de manuteno; Atividades de treinamento, conscientizao e educao; Designao das responsabilidades individuais; Aptido dos ativos e recursos crticos para procedimentos de: Emergncia; Recuperao; Reativao.
Controle
Convm que os planos de continuidade do negcio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualizao e efetividade.
Conscientizao dos membros da equipe de suas responsabilidades nos testes Planejamento e programao dos teste dos planos
Indicao e como e quando cada elemento seja testado; Componentes dos planos sejam frequentemente testados. Assegurar a confiana de que os planos iro operar consistentemente em casos reais
Itens considerados:
Testes de mesa simulando diferentes cenrios; Simulaes; Testes de recuperao tcnica; Testes de recuperao em um local alternativo; Testes dos recursos, servios e instalaes de fornecedores; Ensaio geral.
Registro dos resultados dos testes Aes tomadas para a melhoria dos planos Estabelecimento de responsabilidades pelas anlises crticas peridicas de cada parte do plano Exemplos de mudanas onde convm que a atualizao dos planos
Aquisio de novos equipamentos; Atualizaes de sistemas; Mudanas de: Pessoal; Estratgia de negcio e Processos
Agenda
Aspectos da gesto da continuidade do negcio, relativos segurana da informao. Conformidade com requisitos legais Conformidade com normas e politicas de segurana da informao e conformidade tcnica Consideraes quanto auditoria de sistemas de informao.
Conformidade
Objetivo
No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hbil, se for o caso. Identificar processos crticos e integre a segurana da informao com requisitos para continuidade de negcios, como operaes, funcionrios, materiais, transporte e instalaes.
Convm
Convm
Considerar o impacto nos negcios de desastres. Avaliar os requisitos de tempo para recuperao das operaes essenciais empresa Garantir que as informaes requeridas para os processos de negcios estejam prontamente disponveis.
Processo de negcio para toda a organizao Contempla os requisitos para continuidade do negcio
Devem ser identificados os eventos que podem causar interrupes aos processos de negcio, junto probabilidade e impacto de tais interrupes e as conseqncias para a segurana de informao
assegurar a disponibilidade da informao no nvel requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do negcio.
assegurar que todos os planos so consistentes, para contemplar os requisitos de segurana da informao e para identificar prioridades para testes e manuteno.
Os planos de continuidade do negcio devem ser testados e atualizados regularmente, de forma a assegurar sua permanente atualizao e efetividade
Exerccio
Associe a coluna da esquerda com a da direita: (2) Prover uma orientao e apoio
da direo para a SI de acordo com requisitos de negcio, leis e regulamentos relevantes
Resposta
Exerccio
Marque as afirmaes abaixo como verdadeiras ou falsas, conforme a referncia da ISO 27002:2005
atualizados regularmente, de forma a assegurar sua permanente atualizao e efetividade que podem causar interrupes aos processos de negcio, junto probabilidade e impacto de tais interrupes
Resposta
Marque as afirmaes abaixo como verdadeiras ou falsas, conforme a referncia da ISO 27002:2005
atualizados regularmente, de forma a assegurar sua permanente atualizao e efetividade que podem causar interrupes aos processos de negcio, junto probabilidade e impacto de tais interrupes
Objetivo
Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer requisitos de segurana da informao Avaliar consultoria externa adequadamente qualificada em aspectos legais.
Convm
Identificao da legislao vigente Direitos de propriedade intelectual Proteo de registros organizacionais Proteo de dados e privacidade da informao pessoal Preveno de mau uso de recursos de processamento da informao Regulamentao de controles de criptografia
Objetivo
Garantir conformidade dos sistemas com as polticas e normas organizacionais de segurana da informao. Analisar a segurana dos sistemas a intervalos regulares Basear a anlise de segurana com base nas PSIs apropriadas e auditar as plataformas tcnicas.
Convm
procedimentos executados corretamente para atender conformidade com as normas e PSI Os sistemas de informao devem ser periodicamente verificados quanto sua conformidade com as normas de segurana da informao implementadas.
Objetivo
Maximizar a eficcia e minimizar a interferncia no processo de auditoria dos sistemas de informao. Implementar controles para preteger sistemas operacionais e ferramentas de auditoria durante as auditorias. Proteger e prevenir o uso indevido das ferramentas de auditoria.
Convm
verificao nos sistemas operacionais devem ser cuidadosamente planejados e acordados para minimizar os riscos de interrupo dos processos do negcio.
acesso s ferramentas de auditoria de sistema de informao deve ser protegido para prevenir qualquer possibilidade de uso imprprio ou comprometimento.
Exerccio
Marque as afirmaes abaixo como verdadeiras ou falsas, conforme a referncia da ISO 27002:2005 ( ) Os sistemas de informao tm seus requisitos de conformidade
ditados pelos usurios finais que, por serem os donos dos sistemas tem o poder de definir o escopo para conformidade de cada sistema
auditoria no precisam registrar suas operaes (log) nem implementar controle de acesso. quanto sua conformidade com as normas de segurana da informao implementadas.
Resposta
Marque as afirmaes abaixo como verdadeiras ou falsas, conforme a referncia da ISO 27002:2005 ( F ) Os sistemas de informao tm seus requisitos de conformidade
ditados pelos usurios finais que, por serem os donos dos sistemas tem o poder de definir o escopo para conformidade de cada sistema
( F ) Por no serem de uso comum aos usurios, as ferramentas de ( V ) Os sistemas de informao devem ser periodicamente
verificados quanto sua conformidade com as normas de segurana da informao implementadas.
09/05/10 Prof. Msc RoneiFerrigolo Auditoria e Segurana de Software 46298
auditoria no precisam registrar suas operaes (log) nem implementar controle de acesso.
Exerccio
Marque as fontes de requisitos de conformidade para sistemas de informao, conforme a referncia da ISO 27002:2005
( ( ( ( ( ) lei criminal ou civil, estatutos, regulamentaes ) CMMI ) MPS.br ) obrigaes contratuais ) polticas e normas organizacionais de segurana da informao. ( ) ISO 9001:2000
09/05/10 Prof. Msc RoneiFerrigolo Auditoria e Segurana de Software 46298
Resposta
Marque as fontes de requisitos de conformidade para sistemas de informao, conforme a referncia da ISO 27002:2005
( V ) lei criminal ou civil, estatutos, regulamentaes ( F ) CMMI ( F ) MPS.br ( V ) obrigaes contratuais ( V ) polticas e normas organizacionais de segurana da informao. ( F ) ISO 9001:2000
09/05/10 Prof. Msc RoneiFerrigolo Auditoria e Segurana de Software 46298
Bibliografia
Dvida
Programa:
Introduo Funcionrio:Parte integrante O que informao? Informao: Elemento vital Setores da Organizao Como vista a segurana das informaes? Princpios bsicos Trplice PPT Elo mais fraco Tratando a informao corretamente Cuidados a serem levados em conta Check-up geral dos riscos mais agravantes Principais ameaas segurana da informao
Responsabilidades individuais
Se transformam
Conscientizao coletiva
O que informao?
Tudo aquilo que voc interpreta, assimila e compreende. Ou seja: O que faz sentido para voc!
Setores da organizao
DSA
Vigilncia
Princpios bsicos
Segurana da Informao
Sustentao Integridade Confidencialidade Disponibilidade Trinmio da Segurana Segurana Fsica Segurana Tcnica Segurana Humana
humano
Tcnico
Fsico
Trplice PPT
Fator Tecnolgico?
r to a F
o an m hu
Voc trata as informaes que recebe todos os dias de forma correta? Sabe diferenciar informao pblica da informao particular/interna/confidencial? Tem noo do quanto voc importante e responsvel pelas informaes que a cada dia adquire?
Chaves de armrios no bem guardados. Senhas e nomes de usurios visveis. Deixar computador logado; disponvel para ser acessado,sem estar presente.
No atualizar anti-virus e Sistema Operacional
Aceitar a entrada de algum usurio em sua lista de contatos no sistema de bate-papo que esta sendo utilizado, sem saber ao certo de quem realmente se trata
Check-up geral dos riscos mais agravantes Segurana das informaes dentro da Organizao
Preencher formulrios eletrnicos ou acessar links recebidos via e-mail, sem ao menos conferir se o e-mail solicitante provm do endereo correto.
Check-up geral dos riscos mais agravantes Segurana das informaes dentro da Organizao
Chave principal (referente ao quadro de todas chaves do campus) jogada,exposta ou no bem guardada em lugar seguro . No colher assinatura (identificao necessria) para disponibilizar ou recolher chave de determinado setor
Check-up geral dos riscos mais agravantes Segurana das informaes dentro da Organizao
Documento e/ou arquivos expostos em cima da mesa, sendo facilmente visualizados ou capturados.
Acesso a entrada ao campus sem as devidas credenciais de identificao e coleta de informaes sobre o mesmo
Deixar carto de acesso de entrada exposto em lugares que facilmente se consegue pegar
Check-up geral dos riscos mais agravantes Segurana das informaes dentro da Organizao Valendo para todos sem exceo:
Entregar informaes via telefone sem fazer a conferncia correta do que se trata
Concluso
A conscientizao perante as informaes que cada um exerce em seu meio essencial para a consolidao de um ambiente de trabalho mais seguro, onde cada um o responsvel por manipular e transmitir as informaes.
Dvida
Referncias
Ha JH, Yoo HJ, Cho IH, Chin B, Shin D, Kim JH. Psychiatric comorbidity assessed in Korean children and adolescents who screen positive for Internet addiction. J Clin Psychiatry. 2006;67(5):821-6. TUMA, R. A Internet e a Compulso. So Paulo.2006. Disponvel em: http://www.scielo.br/. Acesso em: 07 de nov. 2008. http://cartilha.cert.br/; http://penta.ufrgs.br/gereseg/rfc2196/cap2.htm; http://www.protectionline.org/Analise-do-risco-e-necessidadesde.html http://pt.wikipedia.org:80/wiki/Log_de_dados http://www.rnp.br:80/newsgen/9905/logs.htm